La ciberseguridad se encuentra en alerta debido a la explotación de una peligrosa vulnerabilidad en productos de la compañía Citrix, conocida como Citrix Bleed. A pesar de que Citrix lanzó un parche de seguridad hace tres semanas para resolver esta vulnerabilidad, los ciberdelincuentes continúan aprovechándola para acceder a redes empresariales. 

La gravedad de esta amenaza es alta, con una calificación de 9,4 sobre 10, lo que deja bastante clara la seriedad del problema y la necesidad inmediata de una solución.

¿En qué consiste Citrix Bleed? Esta vulnerabilidad se encuentra en productos específicos de Citrix, una empresa de tecnología estadounidense que se especializa en ofrecer soluciones de virtualización y acceso remoto, incluyendo el NetScaler Application Delivery Controller y el NetScaler Gateway. 

Lo preocupante es que la información revelada a través de esta vulnerabilidad puede incluir tokens de sesión. Estos tokens son asignados a dispositivos que han proporcionado correctamente las credenciales, incluso aquellos que utilizan la autenticación multifactor (MFA). Esto significa que, una vez comprometidos, los atacantes pueden eludir las medidas de seguridad y acceder a redes empresariales.

Una vulnerabilidad que ya ha puesto en jaque a unas 20.000 empresas

Esta vulnerabilidad, identificada como CVE-2023-4966, ha estado siendo explotada activamente desde agosto. Kevin Beaumont, un investigador de seguridad, advierte que la situación se ha vuelto crítica, y menciona que ha encontrado aproximadamente 20.000 casos de dispositivos Citrix comprometidos. 

Además, datos de otras fuentes indican un aumento en los ataques. GreyNoise, una empresa de seguridad, detectó exploits provenientes de 135 direcciones IP, un gran aumento en comparación con días anteriores.

Por si fuese poco, la facilidad con la que los atacantes pueden explotar esta vulnerabilidad es preocupante. Una simple ingeniería inversa del parche lanzado por Citrix revela las funciones vulnerables, lo que permite a los atacantes escribir código para aprovechar la situación. Además, existen varios exploits que hacen que el ataque sea aún más sencillo.

Informan que las empresas afectadas deben actuar rápidamente para parchear los dispositivos Citrix que aún no han sido actualizados y cambiar todas las credenciales para invalidar los tokens de sesión comprometidos.